Enjeux et défis du contrôle des risques opérationnels
mercredi 25 février 2015Si le contrôle du risque opérationnel s’appréhende désormais de
plus en plus souvent comme une filière à part entière, les échanges
de bonnes pratiques demeurent indispensables au moment où les
enjeux financiers et de réputation prennent une ampleur
grandissante et où les règles internationales se multiplient.
La gestion de ces risques ne s’organise d’ailleurs pas seulement comme une filière, mais relève, au-delà, d’une culture et de processus qui concernent l’ensemble des institutions et qui ont un impact fort sur les business models et partant, sur les orientations et choix stratégiques des organisations.
Pour les établissements financiers et les compagnies d’assurance, l’enjeu est de taille : « A nous de convaincre que notre armement – un contrôle efficace – est suffisant, faute de quoi les autorités politiques imposeront de nouveaux renforcement du blindage – les fonds propres », a prévenu Edouard-François de Lencquesaing, le délégué général de l’EIFR.
Tomas Rivet, directeur associé de Qualience conseil, a dressé un état des lieux panoramique permettant de saisir les conséquences des mutations en cours sur la nature des risques opérationnels.
Il s’est employé à montrer quelles étaient les évolutions de l’environnement.
Ces mutations modifient le profil de risque des établissements financiers
Banques et assurances, deux univers apparemment très éloignés…
La banque d’une part, l’assurance de l’autre, n’ont pas le même agenda au regard du risque opérationnel, pourtant tout aussi présent dans l’un et l’autre de ces secteurs, c’est ce qui est nettement ressorti du cadrage initial réalisé par Philippe Billard, de l’Autorité de contrôle prudentiel et de résolution (APCR), et par Marie-Laure Dreyfuss, consultante après avoir piloté le projet Solvabilité II à l’ACPR.
Dans la banque, le risque opérationnel est « de longue date une des priorités du superviseur national » (Commission bancaire puis Autorité de contrôle prudentiel et de résolution). Les règles internationales – notamment celles édictées par le Comité de Bâle et aménagées par l’Union européenne – n’ont finalement que formalisé et structuré des pratiques de place bien établies.
Les attentes du superviseur, outre qu’elles s’enrichissent continuellement de l’application de nouvelles règles internationales visent à s’assurer que les règles sont bien appliquées de façon proportionnée : ainsi en est-il, a expliqué Philippe Billard, en matière de gouvernance (il s’agit de créer une véritable « filière risque » au sein des établissements bancaires, dotées de ressources suffisantes), de disposer de processus de mesure et d’identification des risques performants (on doit tendre vers une information plus centralisée, mais aussi, par exemple, disposer des bases
de données de pertes), ou encore dans le domaine de l’approche
globale, dont la nécessité a été réaffirmée par le Comité de Bâle,
et qui passe par la détermination d’un « niveau et d’un
type de risque qu’un établissement peut et souhaite
assumer ».
Pour ce qui est, en revanche, des types d’organisations mises en place - elles dépendent bien entendu intimement des caractéristiques propres à chaque entreprise -, on a pu s’apercevoir que les options (rattachements fonctionnels ou hiérarchiques notamment) étaient variées. A BNP Paribas par exemple, la gestion du risque opérationnel a été rattachée à la conformité (les « points communs sont nombreux », a plaidé Jean-Marie Savarin), ce qui ne va pas de soi. Il faut d’ailleurs noté, comme l’avait fait Philippe Billard, de l’ACPR, en début de matinée, qu’en matière d’organisation, le superviseur bancaire ne peut s’immiscer dans la gestion interne, mais doit veiller avec pragmatisme et sur la base d’une analyse au cas par cas du bon respect des règles d’indépendance des contrôles.
Dans le secteur de l’assurance en revanche, le formalisme en matière de risque opérationnel est très récent : l’obligation de produire un rapport annuel sur le contrôle interne ou celle d’instituer un comité d’audit ne remontent qu’à 2008. Il a fallu attendre la directive européenne Solvabilité II pour que s’opère « une presque révolution », avec un début de définition de la notion de risque opérationnel, la détermination d’une exigence en fonds propres liée à ce type de risque, et des obligations contraignantes dans le champ de la gouvernance (« au cœur de Solvabilité II », a estimé Marie-Laure Dreyfuss).
Ces obligations, « arrivent d’un seul coup », a insisté l’oratrice, et peuvent être difficiles à observer dans les structures les plus petites. Il n’est par exemple pas aisé de séparer nettement l’opérationnel et le contrôle dans des compagnies d’assurance aux effectifs réduits. Cependant, la marche vers une plus grande formalisation de la gestion du risque opérationnel est enclenchée, comme l’atteste, entre autres, la multiplication des créations d’une direction des risques dans les entreprises du secteur. Par ailleurs, ce qui est perçu comme une contrainte soudaine, forte, et économiquement pénalisante (les compagnies d’assurance américaines n’ont pas à observer un équivalent de Solvabilité II), « constituera au bout du compte, a noté Edouard-François de Lencquesaing, un avantage compétitif ».
…mais aux approches finalement comparables
Les banques, sous la pression de leurs superviseurs et des règles internationales, ont derrière elles, en particulier en France, une déjà longue pratique de la formalisation de la gestion du risque opérationnel. Les compagnies d’assurance, elles, font actuellement, sous la contrainte, le difficile apprentissage de cet exercice. Mais au fond, les deux industries se posent à l’égard du risque opérationnel les mêmes questions et mobilisent au bout du compte des principes très semblables, comme l’ont attesté par leurs exposés (réunis sous le titre « Un défi organisationnel : analyse comparative ») Jean-Marie Savin, responsable groupe « risque opérationnel et contrôle permanent » de BNP Paribas et Virginie Le Mée, directrice des risques et du contrôle interne à MACSF, une mutuelle qui s’adresse aux professionnels de la santé.
Les deux orateurs ont ainsi mis l’accent avec la même insistance sur le rôle central joué par les opérationnels dans les dispositifs de gestion du risque, notant que s’il s’agissait d’une « évidence », il convenait de la rappeler et de ne jamais la perdre de vue. « Les opérationnels sont les premiers responsables de l’identification, de l’évaluation et de la maîtrise des risques. Mais dans ce domaine, ils n’agissent pas spontanément, aussi faut-il les aider et les soutenir », a expliqué Jean-Marie Savin. « S’appuyer sur les opérationnels » constitue l’un des deux principes qui sous-tendent [notre] action, a de son côté relevé Virginie Le Mée, notant qu’elle avait « toujours essayé d’embarquer les opérationnels », avec l’idée de former une avant-garde sensibilisée au risque opérationnel et susceptible d’emporter ensuite l’adhésion du plus grand nombre par un effet « d’exemplarité ».
Autre point de convergence significatif dans les démarches poursuivies à BNP Paribas et à la MACSF, l’implication des organes exécutifs et délibérants a été présentée comme une condition sine qua non de l’efficacité, sinon de la réussite des dispositifs déployés.Pour Jean-Marie Savin, ce domaine est même celui où des progrès sont encore à réalise, en particulier sur le sujet de la formalisation par les organes de direction et de surveillance de la "tolérance au risque opérationnel". « Cela demeure encore un peu conceptuel », a-t-il estimé, avant de plaider pour un éclaircissement de la notion.Pour ce qui est, en revanche, des types d’organisations mises en place - elles dépendent bien entendu intimement des caractéristiques propres à chaque entreprise -, on a pu s’apercevoir que les options (rattachements fonctionnels ou hiérarchiques notamment) étaient variées. A BNP Paribas par exemple, la gestion du risque opérationnel a été rattachée à la conformité (les « points communs sont nombreux », a plaidé Jean-Marie Savin). Il faut d’ailleurs noter, comme l’avait fait Philippe Billard, de l’ACPR, en début de matinée, qu’en matière d’organisation, le superviseur bancaire s’interdit toute approche normative, lui préférant le pragmatisme et l’approche au cas par cas.
Un risque en expansion et encore mal maîtrisé : la fraude
La simple évocation de l’actualité des derniers trimestres suffit à se convaincre que la fraude (un vaste ensemble qui regroupe notamment la violation des embargos, le financement du terrorisme ou encore le blanchiment d’argent) constitue un risque opérationnel grandissant et aux effets (amendes, réputation) désastreux. Véronique Haccoun, responsable du risque opérationnel à Ernst & Young France, n’a donc eu aucun mal à persuader les participants du séminaire que ce risque multiforme nécessitait des réponses vigoureuses, cela au moment où le développement international se fait pour une grande part dans des pays où la corruption, notamment, est la plus développée (« Il ne faut évidemment pas s’interdire de s’implanter dans de tels pays, mais il convient d’y aller en connaissance de cause »).
Une réponse vigoureuse ? Ce n’est pas systématiquement le cas, a déploré la consultante, notant que si « les dispositifs et les organisations existent, leur efficacité reste à démontrer », que ses missions l’amenaient à constater qu’on avait affaire, dans la lutte contre la fraude, à une « responsabilité émiettée » (c’est-à-dire, au bout du compte, inexistante) et qu’enfin, manquait « une vision globale ».
Rentrant plus avant dans la technique, Véronique Haccoun a énuméré quelques uns des problèmes rencontrés aujourd’hui par le secteur financier dans la lutte contre la fraude : le peu d’attention portée à ce point lors des due diligences réalisées à l’occasion d’acquisitions ; la mise à jour des listes (embargos, personnes condamnées, etc) ; le filtrage des listes, pollué par de fausses alertes (« bruits » dans le jargon des spécialistes) ; ou encore, l’insuffisance de la connaissance initiale de la contrepartie en vertu du KYC (know your customer).
Illustrations
Création d’une filiale à l’étranger
Comment appréhender la question du risque opérationnel lors de la création d’une filiale en Algérie, pays où les règles bancaires sont récentes, où le superviseur lui-même « apprend en marchant » et où la contrainte que représente le contrôle des changes – une grande partie du PNB des banques locales – est encore très forte ? Pour Salem Tigzirine, directeur exécutif de la société de conseil Alcodefi, qui accompagne des banques européennes dans leur développement en Algérie, la mise en place d’un contrôle des risques efficace nécessite notamment de :
Conférence Annuelle de l'EIFR : Régulation et Croissance
Le rôle du market making face à la modernisation des marchés électroniques
Les ateliers Risques de l'EIFR 1- Gouvernance de l'information - 20 janvier 2015 - Avec Atos Consulting et RSD
La gestion de ces risques ne s’organise d’ailleurs pas seulement comme une filière, mais relève, au-delà, d’une culture et de processus qui concernent l’ensemble des institutions et qui ont un impact fort sur les business models et partant, sur les orientations et choix stratégiques des organisations.
Pour les établissements financiers et les compagnies d’assurance, l’enjeu est de taille : « A nous de convaincre que notre armement – un contrôle efficace – est suffisant, faute de quoi les autorités politiques imposeront de nouveaux renforcement du blindage – les fonds propres », a prévenu Edouard-François de Lencquesaing, le délégué général de l’EIFR.
Tomas Rivet, directeur associé de Qualience conseil, a dressé un état des lieux panoramique permettant de saisir les conséquences des mutations en cours sur la nature des risques opérationnels.
Il s’est employé à montrer quelles étaient les évolutions de l’environnement.
- on a affaire à :
- une révolution numérique, qui a des impacts forts sur les métiers
- une situation économique marquée par :
- une multiplication des réglementations (Bâle III, Emir, Facta, Mifid…)
- une croissance économique faible et une dette souveraine totale élevée
- des établissements financiers sous pression (faible croissance des revenus, diminution des marges…)
- de nouvelles stratégies et de nouvelles formes d’organisations : plus de spécialisation, recours accru à l’externalisation, multiplication des chantiers de réorganisation interne
Ces mutations modifient le profil de risque des établissements financiers
- tous les types de risques sont concernés : commerciaux, litiges avec les autorités, erreurs d’exécution, pertes de moyens d’exploitation, etc
- l’approche normative reste nécessaire mais n’est pas suffisante
- la proximité avec les métiers est nécessaire
Banques et assurances, deux univers apparemment très éloignés…
La banque d’une part, l’assurance de l’autre, n’ont pas le même agenda au regard du risque opérationnel, pourtant tout aussi présent dans l’un et l’autre de ces secteurs, c’est ce qui est nettement ressorti du cadrage initial réalisé par Philippe Billard, de l’Autorité de contrôle prudentiel et de résolution (APCR), et par Marie-Laure Dreyfuss, consultante après avoir piloté le projet Solvabilité II à l’ACPR.
Dans la banque, le risque opérationnel est « de longue date une des priorités du superviseur national » (Commission bancaire puis Autorité de contrôle prudentiel et de résolution). Les règles internationales – notamment celles édictées par le Comité de Bâle et aménagées par l’Union européenne – n’ont finalement que formalisé et structuré des pratiques de place bien établies.
Les attentes du superviseur, outre qu’elles s’enrichissent continuellement de l’application de nouvelles règles internationales visent à s’assurer que les règles sont bien appliquées de façon proportionnée : ainsi en est-il, a expliqué Philippe Billard, en matière de gouvernance (il s’agit de créer une véritable « filière risque » au sein des établissements bancaires, dotées de ressources suffisantes), de disposer de processus de mesure et d’identification des risques performants (on doit tendre vers une information plus centralisée, mais aussi, par exemple, disposer de
Pour ce qui est, en revanche, des types d’organisations mises en place - elles dépendent bien entendu intimement des caractéristiques propres à chaque entreprise -, on a pu s’apercevoir que les options (rattachements fonctionnels ou hiérarchiques notamment) étaient variées. A BNP Paribas par exemple, la gestion du risque opérationnel a été rattachée à la conformité (les « points communs sont nombreux », a plaidé Jean-Marie Savarin), ce qui ne va pas de soi. Il faut d’ailleurs noté, comme l’avait fait Philippe Billard, de l’ACPR, en début de matinée, qu’en matière d’organisation, le superviseur bancaire ne peut s’immiscer dans la gestion interne, mais doit veiller avec pragmatisme et sur la base d’une analyse au cas par cas du bon respect des règles d’indépendance des contrôles.
Dans le secteur de l’assurance en revanche, le formalisme en matière de risque opérationnel est très récent : l’obligation de produire un rapport annuel sur le contrôle interne ou celle d’instituer un comité d’audit ne remontent qu’à 2008. Il a fallu attendre la directive européenne Solvabilité II pour que s’opère « une presque révolution », avec un début de définition de la notion de risque opérationnel, la détermination d’une exigence en fonds propres liée à ce type de risque, et des obligations contraignantes dans le champ de la gouvernance (« au cœur de Solvabilité II », a estimé Marie-Laure Dreyfuss).
Ces obligations, « arrivent d’un seul coup », a insisté l’oratrice, et peuvent être difficiles à observer dans les structures les plus petites. Il n’est par exemple pas aisé de séparer nettement l’opérationnel et le contrôle dans des compagnies d’assurance aux effectifs réduits. Cependant, la marche vers une plus grande formalisation de la gestion du risque opérationnel est enclenchée, comme l’atteste, entre autres, la multiplication des créations d’une direction des risques dans les entreprises du secteur. Par ailleurs, ce qui est perçu comme une contrainte soudaine, forte, et économiquement pénalisante (les compagnies d’assurance américaines n’ont pas à observer un équivalent de Solvabilité II), « constituera au bout du compte, a noté Edouard-François de Lencquesaing, un avantage compétitif ».
…mais aux approches finalement comparables
Les banques, sous la pression de leurs superviseurs et des règles internationales, ont derrière elles, en particulier en France, une déjà longue pratique de la formalisation de la gestion du risque opérationnel. Les compagnies d’assurance, elles, font actuellement, sous la contrainte, le difficile apprentissage de cet exercice. Mais au fond, les deux industries se posent à l’égard du risque opérationnel les mêmes questions et mobilisent au bout du compte des principes très semblables, comme l’ont attesté par leurs exposés (réunis sous le titre « Un défi organisationnel : analyse comparative ») Jean-Marie Savin, responsable groupe « risque opérationnel et contrôle permanent » de BNP Paribas et Virginie Le Mée, directrice des risques et du contrôle interne à MACSF, une mutuelle qui s’adresse aux professionnels de la santé.
Les deux orateurs ont ainsi mis l’accent avec la même insistance sur le rôle central joué par les opérationnels dans les dispositifs de gestion du risque, notant que s’il s’agissait d’une « évidence », il convenait de la rappeler et de ne jamais la perdre de vue. « Les opérationnels sont les premiers responsables de l’identification, de l’évaluation et de la maîtrise des risques. Mais dans ce domaine, ils n’agissent pas spontanément, aussi faut-il les aider et les soutenir », a expliqué Jean-Marie Savin. « S’appuyer sur les opérationnels » constitue l’un des deux principes qui sous-tendent [notre] action, a de son côté relevé Virginie Le Mée, notant qu’elle avait « toujours essayé d’embarquer les opérationnels », avec l’idée de former une avant-garde sensibilisée au risque opérationnel et susceptible d’emporter ensuite l’adhésion du plus grand nombre par un effet « d’exemplarité ».
Autre point de convergence significatif dans les démarches poursuivies à BNP Paribas et à la MACSF, l’implication des organes exécutifs et délibérants a été présentée comme une condition sine qua non de l’efficacité, sinon de la réussite des dispositifs déployés.Pour Jean-Marie Savin, ce domaine est même celui où des progrès sont encore à réalise, en particulier sur le sujet de la formalisation par les organes de direction et de surveillance de la "tolérance au risque opérationnel". « Cela demeure encore un peu conceptuel », a-t-il estimé, avant de plaider pour un éclaircissement de la notion.Pour ce qui est, en revanche, des types d’organisations mises en place - elles dépendent bien entendu intimement des caractéristiques propres à chaque entreprise -, on a pu s’apercevoir que les options (rattachements fonctionnels ou hiérarchiques notamment) étaient variées. A BNP Paribas par exemple, la gestion du risque opérationnel a été rattachée à la conformité (les « points communs sont nombreux », a plaidé Jean-Marie Savin). Il faut d’ailleurs noter, comme l’avait fait Philippe Billard, de l’ACPR, en début de matinée, qu’en matière d’organisation, le superviseur bancaire s’interdit toute approche normative, lui préférant le pragmatisme et l’approche au cas par cas.
Un risque en expansion et encore mal maîtrisé : la fraude
La simple évocation de l’actualité des derniers trimestres suffit à se convaincre que la fraude (un vaste ensemble qui regroupe notamment la violation des embargos, le financement du terrorisme ou encore le blanchiment d’argent) constitue un risque opérationnel grandissant et aux effets (amendes, réputation) désastreux. Véronique Haccoun, responsable du risque opérationnel à Ernst & Young France, n’a donc eu aucun mal à persuader les participants du séminaire que ce risque multiforme nécessitait des réponses vigoureuses, cela au moment où le développement international se fait pour une grande part dans des pays où la corruption, notamment, est la plus développée (« Il ne faut évidemment pas s’interdire de s’implanter dans de tels pays, mais il convient d’y aller en connaissance de cause »).
Une réponse vigoureuse ? Ce n’est pas systématiquement le cas, a déploré la consultante, notant que si « les dispositifs et les organisations existent, leur efficacité reste à démontrer », que ses missions l’amenaient à constater qu’on avait affaire, dans la lutte contre la fraude, à une « responsabilité émiettée » (c’est-à-dire, au bout du compte, inexistante) et qu’enfin, manquait « une vision globale ».
Rentrant plus avant dans la technique, Véronique Haccoun a énuméré quelques uns des problèmes rencontrés aujourd’hui par le secteur financier dans la lutte contre la fraude : le peu d’attention portée à ce point lors des due diligences réalisées à l’occasion d’acquisitions ; la mise à jour des listes (embargos, personnes condamnées, etc) ; le filtrage des listes, pollué par de fausses alertes (« bruits » dans le jargon des spécialistes) ; ou encore, l’insuffisance de la connaissance initiale de la contrepartie en vertu du KYC (know your customer).
Illustrations
Création d’une filiale à l’étranger
Comment appréhender la question du risque opérationnel lors de la création d’une filiale en Algérie, pays où les règles bancaires sont récentes, où le superviseur lui-même « apprend en marchant » et où la contrainte que représente le contrôle des changes – une grande partie du PNB des banques locales – est encore très forte ? Pour Salem Tigzirine, directeur exécutif de la société de conseil Alcodefi, qui accompagne des banques européennes dans leur développement en Algérie, la mise en place d’un contrôle des risques efficace nécessite notamment de :
- rassurer les opérationnels, en allant d’emblée à leur contact et en évitant toute forme de culpabilisation
- répertorier les activités sensibles, y compris celles qui sont sous-traitées
- ne pas négliger les risques opérationnels de base, mais potentiellement dévastateurs
Retrouvez les dossiers de l'EIFR :
Conférence Annuelle de l'EIFR : Régulation et Croissance
Le rôle du market making face à la modernisation des marchés électroniques
Les ateliers Risques de l'EIFR 1- Gouvernance de l'information - 20 janvier 2015 - Avec Atos Consulting et RSD